Il fattore umano resta il principale vettore di rischio. NIS2 e DORA impongono alle organizzazioni non solo misure tecniche, ma anche una formazione mirata ed efficace
Secondo il rapporto “Verizon Data Breach Investigation 2025”, nel 60% degli incidenti di sicurezza IT analizzati è coinvolto un operatore umano. Anche se la percentuale mostra un lieve calo rispetto agli anni precedenti, il dato conferma una tendenza ormai consolidata: l’anello debole della cybersecurity resta la componente umana. A influire su questi numeri sono soprattutto attacchi basati su credenziali rubate, phishing e azioni dovute a un errore umano.
Nel phishing, il limite è spesso architetturale: i protocolli di posta elettronica, risalenti a oltre quarant’anni fa, insieme al modello cloud-native dell’erogazione moderna, ostacolano il controllo sull’autenticità dei messaggi. A questo si può aggiungere una generale propensione delle persone a “ritenere affidabili” anche le comunicazioni non sollecitate.
Secondo varie ricerche, il Phish Prone Percentage (PPP) – ovvero la percentuale di utenti inclini a cadere in attacchi di phishing – oscilla tra il 15% e il 40%, a seconda del contesto e del livello di consapevolezza. In generale le organizzazioni strutturate che impiegano figure dedicate alla gestione della cybersecurity hanno già attivato dei percorsi di contrasto a protezione del loro business, tuttavia, un numero significativo di aziende – in particolare nel segmento delle PMI, che in Europa rappresentano la maggioranza del tessuto economico – riscontra oggettive difficoltà nell’attivazione delle opportune misure.
La Direttiva NIS2 e il Regolamento DORA impongono regole stringenti, con l’obiettivo di garantire un livello minimo comune di sicurezza per organizzazioni pubbliche e private. Le attività di formazione e sensibilizzazione sulla cybersecurity rientrano tra i requisiti fondamentali, da erogare ovviamente in modo differenziato. Il percorso formativo deve partire dal management e poi estendersi progressivamente a tutta la popolazione aziendale.
Sarebbe quindi opportuno affiancare la funzione HR, generalmente responsabile dell’organizzazione dei percorsi formativi, con un approccio misto, che combini sessioni di training tradizionale – più adatte a gruppi ristretti di manager o figure tecniche – e piattaforme di cybersecurity awareness – da preferire nei casi di formazione estesa a tutta la popolazione aziendale.
Tali piattaforme offrono il grosso vantaggio di permettere una formazione asincrona, entro certi limiti, senza interferire con l’operatività quotidiana – a differenza della formazione frontale, che richiede la sospensione delle attività. Le sessioni di training sono brevi, flessibili e facilmente fruibili durante l’attività lavorativa.
I contenuti, sempre aggiornati e disponibili in diversi formati (newsletter, video, miniserie, giochi), sono progettati per mantenere alta la motivazione, sfruttando logiche di gamification. La verifica dell’apprendimento avviene tramite test sui contenuti formativi o attraverso simulazioni di phishing e altri tipi di attacco. Tutte le attività sono tracciabili sia a livello di singolo utente sia per unità organizzativa, consentendo un monitoraggio puntuale dell’efficacia del programma.
La maggior parte delle soluzioni presenti sul mercato consente di integrare contenuti personalizzati, come il training sulle policy aziendali. In alcuni casi, è possibile offrire un’esperienza formativa più interattiva grazie all’integrazione di agenti chatbot, che guidano l’utente. I collaboratori di un’organizzazione possono rappresentare quindi una linea di difesa importante, ma hanno bisogno di essere coinvolti nelle dinamiche di protezione del patrimonio informativo attraverso una formazione adeguata. Le organizzazioni devono perciò essere preparate a raccogliere, nel loro stesso interesse, la sfida. Nel caso di settori regolamentati, l’implementazione delle normative NIS2 e DORA costituisce un impulso positivo e concreto verso una maggiore maturità in ambito cybersecurity.
Roberto Obialero, Comitato direttivo CLUSIT
